Ransomware

 

In etlichen Hollywood-Filmen konnte man bereits beobachten, wie sich IT-Experten durch die aufwendigsten Sicherheitssysteme hindurch Zugriff auf das Computersystem des Opfers verschafft haben, um an dessen Daten zu gelangen und danach das Opfer damit zu erpressen. Inzwischen aber ist diese Phantasie nicht nur längst in der Realität angekommen, sondern übertrifft in manchen Bereichen die Komplexität und den Einfallsreichtum der Filmemacher um Längen. Was das gefährliche bei diesen Angriffen ist, erklären wir in diesem Beitrag.


Was ist „Ransomware“ und „Social Engineering“?

Als „Ransomware“ werden Krypto-Trojaner bezeichnet, welche die Daten und Dokumente der Opfer durch Verschlüsselung für den Benutzer unbrauchbar machen und erst gegen Bezahlung eines Lösegelds wieder zur Verfügung stellen.
Beim „Social Engineering“ handelt es sich um gezielte Angriffe gegen ausgesuchte Mitarbeiter von Firmen oder Behörden um an Geld oder Betriebsgeheimnisse zu kommen. Es ist also eine erweiterte Form des Phishings und wird inzwischen auch gezielt genutzt, um in Firmennetzwerke einzudringen und diese dann von innen zu attackieren.

Wie oft werden PCs mit Ransomware infiziert? 1 2 3

Zählt man alle Verschlüsselungstrojaner zusammen, werden alleine in Deutschland weit über 5.000 PCs pro Stunde mit Krypto-Trojanern infiziert. Laut einer Umfrage des Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden bereits über 30% der darin befragten Unternehmen in Deutschland Opfer eines Verschlüsselungstrojaners.

Was ist das Gefährliche an „Social Engineering“? 4 5 6

Bei dieser Art von Angriff haben sich die Erpresser bereits mit Ihrem Ziel „beschäftigt“, es online „beschattet“ und so viele Informationen wie möglich gesammelt. Daraufhin werden gezielt Mitarbeiter bzw. Einfallstore noch vor dem ersten Kontakt anvisiert und eine Strategie für die Infiltration ausgearbeitet. In Zusammenhang mit einem Trojaner kann dies, wie bereits vorgekommen, eine Bewerbung per Mail auf eine ausgeschriebene Stelle oder einfach eine präparierte Speisekarte des Lieblingsrestaurants sein, um sich Zugang zum Netzwerk zu verschaffen.
Aber auch in Verbindung mit einer gut gefälschten Phishing-Mail vom vermeintlichen Chef tritt „Social Engineering“ immer häufiger auf, zumeist um durch eine Gesetzeslücke „legal“ Geld zu ergattern.

Bin ich durch meine Anti-Viren-Software abgesichert? 7 8

Zwar bieten Anti-Viren Programme einen meist zuverlässigen Schutz gegen eine Vielzahl von bekannten Schädlingen, aber als einzige Absicherung sind auch diese relativ machtlos. Es langt meistens bereits aus wenn ein Code-Schnipsel im Schadprogramm geändert wird, um wieder unerkannt vom Virenscanner operieren zu können. Eine wirkliche Barriere für die Erpresser stellt diese alleinige Absicherung somit nicht mehr da, zumal bereits auch die Virenscanner selbst als Einfallstor genutzt werden.

Schützt mich mein Backup vor einem Verlust?

Ein Online-Backup oder eine angeschlossene Backup-Festplatte kann von den Erpressern ebenso verschlüsselt oder unbrauchbar gemacht werden und wäre dahingehend nutzlos. Nur wer auch ein nicht angeschlossenes, vom Trojaner nicht befallenes Backup besitzt ist gegen einen Totalverlust wirklich sicher.

Welcher Aufwand entsteht durch eine Infektion?

Notwendig ist es alle befallen Systeme wie z.B. PCs/Server/Mobiltelefone festzustellen und samt deren Software wieder neu zu installieren, die Programme neu einzurichten, die Einstellungen wieder herzustellen, das/die Backup(s) wieder einzuspielen und die seit dem letzten Backup in der Zwischenzeit veränderten Dateien und/oder Daten neu zu erfassen. Die Sicherheitslücke durch welche die Schadsoftware eingedrungen ist, muss danach natürlich auch noch geschlossen werden, um eine Neuinfektion auszuschließen. Dazu müssen auch noch alle Passwörter geändert und weitere Sicherheitssysteme neu aufgesetzt werden. Der Aufwand bei einem Befall ist also definitiv nicht als „gering“ zu bezeichnen. Hinzu kommt, dass je nach Schädling etwaige Betriebsgeheimnisse sich dann bereits in den Händen der Erpresser befinden könnten.

Kann es auch mich und meine Firma treffen? 9 10 11

Generell ist niemand vor einem Befall sicher, wie man an den „prominenten Opfern“ in Deutschland sehen kann. Unter anderem wurden bereits Firmen, Gemeinden, Institute und soziale Einrichtungen befallen. Auch ein aktuell gehaltener Virenschutz bietet gegen die neuesten Varianten nur geringfügigen Schutz. Hier müssen zusätzliche Barrieren für einen besseren Schutz und eine aktive Abwehr eingerichtet werden.

Welche Daten werden verschlüsselt? 12 13 14

Dies ist abhängig von der Art und dem Entwicklungsstand des Trojaners. Während die ersten Trojaner nur Textdokumente verschlüsselten, werden aktuell auch alle Dateien am PC und deren Netzwerkfreigaben verschlüsselt. Es gibt aber auch Varianten welche die ganzen Festplatten verschlüsseln und man somit nicht einmal ein Betriebssystem booten kann, ohne den Entschlüsselungscode zu kennen.

Werden die Daten vorher von den Erpressern gelesen/gesichtet? 15

Auch hier ist die Antwort ja. Es gibt inzwischen Varianten, welche die Daten zuvor an einen Server übertragen und diese dort von den Ganoven analysiert werden. Daraufhin entscheiden die Verbrecher welche Daten verschlüsselt werden und wie weiter in das Netzwerk vorgedrungen werden soll. Dies zeigt wie lukrativ diese Art der Geldbeschaffung geworden ist.

Werden die Daten auch verändert oder gelöscht? 16 17

Zumindest für eine Veränderung der verschlüsselten Daten gibt es noch keine uns bekannten Beispiele, dies wäre wohl auch nicht im Interesse der Erpresser. Allerdings sind seit kurzem auch Krypto-Trojaner im Umlauf die nach Ablauf einer gewissen Zeit (meist 24 Stunden nach Übermittlung des „Erpresserschreibens“) anfangen stündlich Daten und Dateien zu löschen, um so den Druck auf die Opfer zu erhöhen. Des Weiteren begnügt sich nicht jede Ransomware damit nur das Lösegeld einzustreichen, verschiedene Varianten laden auch andere Schadsoftware nach um z.B. Passwörter oder Online-Banking Zugangsdaten abzugreifen.

Wie hoch ist das zu zahlende Lösegeld?

Dies ist je nach Krypto-Trojaner unterschiedlich. Beginnend ab ca. 150 EUR pro PC sind es bei vielen Varianten inzwischen über 550 EUR pro PC bzw. annähernd 20000 EUR bei pauschaler Berechnung. Es ist anzunehmen, dass zukünftige Varianten auch noch höhere Beträge fordern, abhängig davon wie viel „Aufwand“ die Erpresser mit ihrem Opfer haben.

Hilft es, wenn ich nicht Windows als Betriebssystem habe?

Bei dieser Art von Trojaner generell nein, zwar haben es bei OSX (Mac) und Linux die Ganoven deutlich schwerer als unter dem Betriebssystem Windows, aber es existieren auch bereits Trojaner für diese Betriebssysteme. Inzwischen wurden auch die Smartphone-Betriebssysteme iOS und Android als lukrative Ziele von den Ganoven entdeckt. Es ist also auch hier die gleiche Sorgfalt wie am PC geboten.

Was raten die Sicherheitsorgane?

Während Beamte des FBI den betroffenen raten im Notfall das geforderte „Lösegeld“ zu zahlen, stellt sich das BSI gegen diese Politik. Wie man allerdings bei erfolgter Infizierung wieder an seine (Geschäfts-)daten gelangen soll, ohne ein Backup der Dateien zu besitzen, beantwortet das BSI nicht. Genauso wenig was man im Fall eines durch den Schädling beschädigten/gelöschten Backups machen soll.
De facto und mit Stand dieses Schreibens, ist eine Entschlüsselung der Daten ohne den korrekten Entschlüsselungscode zu kennen mit der heutigen und in absehbarer Zukunft verfügbaren Computerrechenleistung nicht möglich. Zwar sind auch Fälle bekannt, bei denen die Erpresser geschlampt haben und die Dateien auch ohne Lösegeldzahlung wieder hergestellt werden konnten, aber dies ist eher die Ausnahme und die Erpresser entwickeln Ihren Schädling auch immer weiter, so dass dies in Zukunft noch seltener gelingen sollte.
Über das Für und Wider beider Vorschläge und deren Hintergründe lässt sich sicherlich streiten, dass es aber erst gar nicht so weit kommen muss und dass man sich durchaus absichern kann wird aus unserer Sicht viel zu wenig thematisiert.

Auszug aus dem BSI-Themenpapier zu Ransomware 18 19

Bei Ransomware-Vorfällen werden Versäumnisse bei der Prävention deutlich aufgezeigt. Schlecht gepflegte Systeme, fehlende, veraltete oder nicht überprüfte Software-Backups, schwache Administrator-Passworte, fehlende Netzsegmentierung uvam. rächen sich bei Ransomware sofort durch die eingetretenen Schäden.

 

Auch das Verhalten der Mitarbeiter spielt eine zentrale Rolle. Einige Angriffe sind mittlerweile so gut, dass sie kaum oder schwer zu erkennen sind. Dabei sind viele der beobachteten Ransomware-Spamwellen nicht mit großem Aufwand gestaltet. Hier würde eine Sensibilisierung der Mitarbeiter helfen.


Wie kann ich mich infizieren?

Die Wege wie man sich den Schädling einholt sind leider sehr vielseitig, da es in der IT sehr viele Angriffsvektoren gibt. Folgende Szenarien sind möglich:

  • per E-Mail (z.B. Spam oder Phishing-Mails, präparierte Office-Dokumente/PDFs, usw.)
  • per Internet Browser (sämtliche Drive-By Infektionen, präparierte Webauftritte, usw.)
  • externe/interne Hardware (z.B. USB-Stick, CD/DVD)
  • Online Speicher (z.B. Dropbox, OneDrive, usw.)
  • Schwachstellen im Betriebssystem (Client/Server/Mobil)
  • Schwachstellen in der eingesetzten Software (z.B. Java, Adobe Flash Player, uvm.)
  • Ungeschützte Fernwartungszugänge (z.B. Teamviewer)
  • Ungeschultes Personal

Wie kann man sich schützen?


Über alle Möglichkeiten wie man sich am besten schützen kann und welche Präventionspakete wir Ihnen zum Schutz anbieten, können Sie sich in unserem Blog-Beitrag "Wie kann man sich vor „Ransomware“, „Social Engineering“ und anderer Malware schützen?" informieren.

 

Ihr HardCoreTec-Team

 

 

Quellenangaben und Anmerkungen:

1. Ransomware Locky: Fast 20.000 Infektionen pro Stunde: Der Trojaner attackiert vor allem Deutsche

2. BSI-Umfrage: Ein Drittel der Unternehmen ist von Erpressungs-Trojanern betroffen

3. Ransomware: BSI-Papier zu Bedrohungslage, Prävention und Reaktion

4. Lösegeld-Trojaner tarnt sich als Bewerbung

5. Social Engineering – versuchter Betrug bei Geschäftsleuten

6. Als Chef getarnt fordern Internet-Kriminelle Geld von Firmen

7. Entpacker 7-Zip kann zum Ausführen von Schadcode missbraucht werden

8. Kritische Lücke gefährdet Antiviren-Produkte von Symantec und Norton

9. Die verschlüsselte Stadt, die zahlte

10. Trojaner "Locky" legt Computer lahm

11. Geld her, oder ihr müsst faxen

12. Erpresser rüsten nach: Verschlüsselungs-Trojaner TeslaCrypt 4.0 gesichtet

13. Erpressungs-Trojaner Petya riegelt den gesamten Rechner ab

14. Erpressungs-Trojaner Petya: Neue Infektionswelle rollt an, Verschlüsselung bisher nicht knackbar

15. Erpressungs-Trojaner mit neuer Taktik: Erst schauen, dann verschlüsseln

16. Ransomware ist das neue Phishing

17. Kaspersky warnt vor Verschlüsselungs-Malware Shade

18. BSI veröffentlicht Themenpapier zu Ransomware

19. Rechtschreibfehler wurden aus dem BSI-Themenpapier unverändert übernommen

 

Zurück